@StephenKitt. Я пробовал извлекать опцией --enable-libstdcxx-ПЧ, но это не имеет никакого значения. Терминал входа? Кхм, кажется, что X не запускается вообще, но я думаю, вы могли бы проверить, что с PS или Top. Вы уверены, что настройки "/usr/Бен/запуске-х':" сценарий (описанный в учебнике правильно)? Рад, что вы нашли разницу-не обязательно должен быть модуль, может быть отдельный параметр конфигурации. Хм, на самом деле Линукс-изображения-3.2.0-37-дженерик-это я пытался обновить, так что нечего удалять. В любом случае, я набрал команду, которую вы предложили, и она сказала с dpkg: предупреждение: нет установленного пакета, соответствующие Linux-образ-3.2.0-37-универсальный В результате apt-получить -Ф установка была такой же, как раньше. Я имел в виду, откуда я знаю, какой раздел апдейтер должен, /Boot или / ? После чего GParted скажи мне такую вещь?

Я пытаюсь подключиться к сайту FortiGate и открыть наш сервер непрерывной интеграции с помощью VPN-туннелей по протоколу IPSec.

У меня нет контроля над настройками сайта FortiGate это.

На моем ноутбуке под управлением Windows 10, я успешно использовал выполнить, чтобы достичь интеграции сервера в http://ourCIserver:8080.

Сейчас с моим другом ноутбуке работает Арч Линукс 4.14.15, я использую strongSwan 5.6.1, чтобы установить туннель IPSec.

К счастью, туннель, кажется, быть установлен при вызове судо протокол IPSec рестарт, судя по последней части судо протокол IPSec statusall:

Статус демона Айк Харон (strongSwan 5.6.1, Линукс 4.14.15-1-арка, архитектуру x86_64):
 время работы: 8 секунд, начиная с 14 февраля 15:45:58 2018
 Танос: сбрк 2789376, мкарта 0, используется 869600, бесплатные 1919776
 рабочие потоки: 11 из 16 холостого хода, 5/0/0/0 работает, очереди заданий: 0/0/0/0, запланировано: 5
 загруженные Плагины: <опущен>
Прослушивание IP-адресов:
10.0.0.1
Соединения:
 myConn: %any...vpn.the-vpn-server.com IKEv1 агрессивный, dpddelay=30х
 myConn: местные: [пользователь] использует общий ключ проверки подлинности
 myConn: местные: [пользователь] использует проверку подлинности можно: любой
 myConn: пульт дистанционного управления: использует общий ключ проверки подлинности
 myConn: ребенок: динамический === 10.7.0.0/24 туннель, dpdaction=понятно
Шунтируется Соединения:
Обход локальной сети 10.0.0.0/24: 10.0.0.0/24 === 10.0.0.0/24 пройти
Обход локальной сети ::1/128: ::1/128 === ::1/128 пройти
Обход локальной сети на fe80::/64 образом: fe80::/64 === на fe80::/64-ПАСС
Ассоциации безопасности (1 до, 0 подключение):
 myConn[1]: установлено 7 секунд назад 10.0.0.1[пользователь]...83.ХХХ.ХХХ.ХХ[83.ХХХ.ХХХ.ХХ]
 myConn[1]: Спис IKEv1: 9ecabd502184611d_i* 1e7f83412c3aa933_r, общий ключ+проверку можно в 7 часов
 myConn[1]: Айк предложение: <шифрования-хеш-алгоритм Диффи-Хеллмана-группа>
 myConn{1}: установлено, тоннель, аткрывают 1, ESP в UDP и Спиш: cf636a4c_i 98552ddb_o
 myConn{1}: <шифрования-хеш-алгоритм Диффи-Хеллмана-группа>, 0 bytes_i, 0 bytes_o смена в 12 минут
 myConn{1}: 10.0.0.1/32 === 10.7.0.0/24

Хотя связь, я не могу подключиться к http://ourCIserver:8080все, чего я хочу достичь.

Я подозреваю, что я упускаю какую-то конфигурации в iptables или DNS.

Говоря о DNS, там эта часть в конфигурации выполнить (в Windows), что я не смог перевести в формат файла/etc/ipsec на.конф:

<use_vip>1</use_vip>
<virtualip>
<тип>dhcpoveripsec</тип>
<ИС>0.0.0.0</ИС>
<маска>0.0.0.0</маска>
<сервер>0.0.0.0</сервер>
<winserver>0.0.0.0</winserver>
</virtualip>

Конфигурация Системы

Далее следует конфигурация моей системы, которую я считаю актуальной, дайте мне знать, что еще на посту.

в iptables-сохранить

# Созданный на базе iptables-сохранить В1.6.1 на Срд 14 фев 16:31:09 2018
*фильтр
:ВХОД ПРИНЯТЬ [5889:5448467]
:ВПЕРЕД ПРИНЯТЬ [0:0]
:ВЫХОДНОЙ ПРИНИМАЕМ [4843:436153]
-Вход -с 10.7.0.0/24 -Д 10.0.0.1/32 -я wlp3s0 -м политика --реж --в пол протокола IPSec --аткрывают 1 --прото ЕСП-Джей принимает
-А 10.7.0.0/24 -о wlp3s0 -м политика --реж --пол из протокола IPSec --аткрывают 1 --прото ЕСП-Джей принимает выход -с 10.0.0.1/32 -д 
Совершать
# Завершен Срд 14 фев 16:31:09 2018

IP-маршрута

по умолчанию через 10.0.0.138 Дев wlp3s0 ГРЦ 10.0.0.1 метрических 303 
10.0.0.0/24 Дэв wlp3s0 прото ядра сферы ссылке СРЦ 10.0.0.1 метрических 303 

IP-связи

1: Ло: <шлейфа,вверх,LOWER_UP> значение MTU 65536 qdisc noqueue государственной неизвестный режим по умолчанию группы default qlen 1000
 ссылка/закольцовки 00:00:00:00:00:00 БРД 00:00:00:00:00:00
2: enp2s0: <широковещательного,МНОГОАДРЕСНОГО> значение MTU 1500 qdisc Нооп государственный режим группы по умолчанию default qlen 1000
 ссылка/эфир 00:1е:33:А8:53:С6 БРД ФФ:ФФ:ФФ:ФФ:ФФ:ФФ
3: wlp3s0: <широковещательный,многоадресный,вверх,LOWER_UP> с MTU 1500 qdisc MQ в состоянии режиме спячке группы default qlen 1000
 ссылка/эфир 00:22:ФА:91:3Э:02 БРД ФФ:ФФ:ФФ:ФФ:ФФ:ФФ

политика судо xfrm ИС

ГРЦ 10.0.0.1/32 ДСТ 10.7.0.0/24 
 приоритет реж из 371327 
 КГБУ ГРЦ 10.0.0.1 ДСТ 83.ХХХ.ХХХ.ХХ
 прото Сио 0x98552dde ЭСП аткрывают 1 туннельный режим 
ГРЦ 10.7.0.0/24 ДСТ 10.0.0.1/32 
 приоритет реж переднеприводных 371327 
 КГБУ ГРЦ 83.ХХХ.ХХХ.ХХ ДСТ 10.0.0.1
 прото ЭСП аткрывают 1 туннельный режим 
ГРЦ 10.7.0.0/24 ДСТ 10.0.0.1/32 
 реж в приоритетных 371327 
 КГБУ ГРЦ 83.ХХХ.ХХХ.ХХ ДСТ 10.0.0.1
 прото ЭСП аткрывают 1 туннельный режим 
ГРЦ на fe80::/64 ДСТ на fe80::/64 
 приоритет реж переднеприводных 134463 
ГРЦ на fe80::/64 ДСТ на fe80::/64 
 реж в приоритетных 134463 
ГРЦ на fe80::/64 ДСТ на fe80::/64 
 приоритет реж из 134463 
КГД ::1/128 ДСТ ::1/128 
 приоритет реж переднеприводных 68927 
КГД ::1/128 ДСТ ::1/128 
 реж в приоритетных 68927 
КГД ::1/128 ДСТ ::1/128 
 приоритет реж из 68927 
в src 10.0.0.0/24 с DST 10.0.0.0/24 
 приоритет реж переднеприводных 175423 
в src 10.0.0.0/24 с DST 10.0.0.0/24 
 реж в приоритетных 175423 
в src 10.0.0.0/24 с DST 10.0.0.0/24 
 приоритет реж из 175423 
в src 0.0.0.0/0 с DST 0.0.0.0/0 
 гнездо в приоритет 0 
в src 0.0.0.0/0 с DST 0.0.0.0/0 
 гнездо из приоритета 0 
в src 0.0.0.0/0 с DST 0.0.0.0/0 
 гнездо в приоритет 0 
в src 0.0.0.0/0 с DST 0.0.0.0/0 
 гнездо из приоритета 0 
КГД ::/0 летнее время ::/0 
 гнездо в приоритет 0 
КГД ::/0 летнее время ::/0 
 гнездо из приоритета 0 
КГД ::/0 летнее время ::/0 
 гнездо в приоритет 0 
КГД ::/0 летнее время ::/0 
 гнездо из приоритета 0 

файл /etc/ipsec на.конф

конфигурация настройка
 charondebug = "ДМН 1, прил 1, Айка 2, ИБС 1, Работа 1, КС-3, кнл 2, Объем 2, прил 1, Либ 1"

Конн myConn
 keyexchange = ikev1

 ИКЭ = <шифрования-хеш-алгоритм Диффи-Хеллмана-группа>
 ЭСП = <шифрования-хеш-алгоритм Диффи-Хеллмана-группа>

 агрессивный = да

 ikelifetime = 28800s

 право = 83.ХХХ.ХХХ.ХХ
 #правые = vpn.the-vpn-server.com
 rightsubnet = 10.7.0.0/24
 rightid = %любой
 rightauth = ПСК
 rightdns = 0.0.0.0,8.8.8.8,8.8.4.4

 слева = %маршрут по умолчанию
 leftauth = ПСК
 leftauth2 = можно
 xauth_identity = "пользователь"

 авто = запуск

файл /etc/ipsec на.секреты

# протокол IPSec.секреты - файл strongSwan секреты по IPSec 
: ПСК "secret_preshared_key"
: Можно "secret_xauth_password"

Подключение без ✔️ДНС

Следуя советам пользователей roaima, я связался с CI сервером по его IP-адресу: http://10.7.0.50:8080/

Пойду в DNS-менее работал, после удаления этой части из файла/etc/ipsec на.конф:

lifebytes = 5120

lifebytes делает безопасность ассоциацией истекает после передачи определенного количества байт. Клиент и сервер были не в состоянии восстановить в моем случае.

В журнале, истечения, вызванные lifebytes показывает, как

[КНЛ] получил XFRM_MSG_EXPIRE

Я сейчас в состоянии скачать HTML-код наш сервер CI панели с помощью команды wget -о- --заголовок 'ведущий: ourCIserver' 10.7.0.50:8080/.

Даже более полезным, Firefox может подключиться к серверу ИЦ, используя IP-адрес и сделать что HTML.

Это означает, что соединение работает сейчас и позволяет для HTTP-трафика, что является хорошей новостью.

Соединение с DNS

Я добавил

rightdns = 0.0.0.0,8.8.8.8,8.8.4.4

в файле/etc/ipsec на.конф , но пинг ourCIserver не с

Имя или служба не известны

Не повезло еще с трассировка ourCIserver

ourCIserver: имя или служба не известны
Не может справиться с "хозяином" команду арг `ourCIserver на позиции 1 (АГДС 1)

Это конфигурации, относящиеся к DNS для выполнить в Windows, когда DNS работал:

<virtualip>
<тип>dhcpoveripsec</тип>
<ИС>0.0.0.0</ИС>
<маска>0.0.0.0</маска>
<сервер>0.0.0.0</сервер>
<winserver>0.0.0.0</winserver>
</virtualip>

Я могу обойти эту проблему путем предоставления DNS в IP/хост отображения в /и т. д./хостов, но, конечно, было бы предпочтительнее, чтобы получить DNS с помощью сервера на другом конце туннеля.

#<IP-адрес> <hostname.domain.org> <имя_узла>
10.7.0.50 ourCIserver ourCIserver

Заключение

Я могу подключиться к VPN, используя содержимое файла/etc/ipsec на.конф выше. DNS не работает, но это нормально для меня.

Я дистиллированной ответ от этих начинаниях, для тех, кто хочет подключиться к FortiGate используя strongSwan.